Windows アプリケーションのセキュリティ
サイバー犯罪者は、セキュリティで保護されていないアプリケーションを利用して、貴重なリソースにアクセスできます。 Windows では、IT 管理者は、デバイスがプロビジョニングされた時点から一般的なアプリケーション攻撃に対処できます。 たとえば、IT 部門はユーザー アカウントからローカル管理者権限を削除して、PC を最小限の特権で実行して、悪意のあるアプリケーションが機密性の高いリソースにアクセスできないようにすることができます。
Windows のアプリケーション セキュリティ機能の詳細については、こちらをご覧ください。
アプリケーションとドライバーの制御
| 機能名 | 説明 |
|---|---|
| スマート アプリ コントロール | スマート アプリ制御は、信頼されていないアプリケーションまたは署名されていないアプリケーションをブロックすることで、ユーザーが Windows デバイスで悪意のあるアプリケーションを実行できないようにします。 Smart App Control は、プロセス レベルで OS のコアに直接織り込まれたセキュリティの別のレイヤーを追加することで、以前の組み込みのブラウザー保護を超えています。 新しいスマート アプリ コントロールでは、AI を使用して、毎日処理される既存および新しいインテリジェンスに基づいて安全であると予測されるプロセスのみを実行できます。 スマート アプリ コントロールは、アプリケーションの安全性を予測するために App Control for Business で使用されているのと同じクラウドベースの AI に基づいて構築されているため、ユーザーは新しいWindows 11 デバイスやリセットされたWindows 11デバイスで安全で信頼性の高いアプリケーションを使用していることを確信できます。 |
| ビジネス向けアプリ コントロール | organizationは、デバイスで実行されるアプリケーションと同じくらい安全です。 アプリケーション制御では、すべてのコードが信頼できると見なされるアプリケーション信頼モデルとは対照的に、アプリは実行するために信頼を獲得する必要があります。 不要なコードや悪意のあるコードの実行を防ぐことで、アプリケーション制御は効果的なセキュリティ戦略の重要な部分です。 多くの組織では、実行可能ファイル ベースのマルウェアの脅威に対処するための最も効果的な手段の 1 つとしてアプリケーション制御が挙がっています。 Windows 10以降には、App Control for Business と AppLocker が含まれます。 App Control は、Windows 向けの次世代のアプリ制御ソリューションであり、環境内で実行される内容を強力に制御できます。 以前のバージョンの Windows で AppLocker を使用していたお客様は、保護を強化するために App Control に切り替えるかどうかを検討しながら、引き続きこの機能を使用できます。 |
| AppLocker | |
| ユーザー アカウント制御 (UAC) | ユーザー アカウント制御 (UAC) は、マルウェアがデバイスに損傷を与えるのを防ぐのに役立ちます。 UAC では、管理者がシステムへの管理者レベルのアクセスを承認しない限り、アプリとタスクは常に管理者以外のアカウントのセキュリティ コンテキストで実行されます。 UAC は、未承認のアプリの自動インストールをブロックし、システム設定への不注意による変更を防ぐことができます。 UAC を有効にすると、マルウェアがデバイスの設定を変更するのを防ぎ、ネットワークや機密データにアクセスする可能性があります。 UAC は、承認されていないアプリの自動インストールをブロックし、システム設定への不注意による変更を防ぐこともできます。 |
| Microsoft の脆弱なドライバー ブロックリスト | Windows カーネルは最も特権のあるソフトウェアであるため、マルウェアの作成者にとって魅力的なターゲットです。 Windows にはカーネルで実行されるコードに関する厳格な要件があるため、サイバー犯罪者は通常、カーネル ドライバーの脆弱性を悪用してアクセスを取得します。 Microsoft は、エコシステム パートナーと協力して、潜在的に脆弱なカーネル ドライバーを常に特定し、対応しています。 バージョン 22H2 Windows 11より前のバージョンでは、脆弱なバージョンのドライバーの実行を防ぐために HVCI が有効になっているときに、オペレーティング システムによってブロック ポリシーが適用されました。 バージョン 22H2 Windows 11以降、すべての新しい Windows デバイスに対してブロック ポリシーが既定で有効になっており、ユーザーはオプトインして、Windows セキュリティ アプリからポリシーを適用できます。 |
アプリケーションの分離
| 機能名 | 説明 |
|---|---|
| Edge スタンドアロン モードのMicrosoft Defender Application Guard (MDAG) | スタンドアロン モードを使用すると、Windows ユーザーは、管理者または管理ポリシーの構成なしで、ハードウェアから分離された閲覧セッションを使用できます。 このモードでは、ユーザーは信頼されていないサイトを閲覧するために、[Edge] メニューからApplication Guardで Microsoft Edge を手動で起動する必要があります。 |
| Edge エンタープライズ モードとエンタープライズ管理のMicrosoft Defender Application Guard (MDAG) | Microsoft Defender Application Guardは、Microsoft Edge ブラウザーを使用してインターネットを閲覧しているときに、ユーザーのデスクトップを保護します。 エンタープライズ モードのApplication Guardは、信頼されていない Web サイト ナビゲーションを、ホスト オペレーティング システムとは別の匿名および分離された Hyper-V ベースのコンテナーで自動的にリダイレクトします。 エンタープライズ モードでは、信頼されたドメインを明示的に追加することで企業の境界を定義でき、Windows デバイスでorganizationのニーズを満たし、適用するためにApplication Guard エクスペリエンスをカスタマイズできます。 |
| Microsoft Defender Application Guard (MDAG) パブリック API | それらを使用するアプリケーションを、ホスト オペレーティング システムとは別の Hyper-V ベースのコンテナーとして分離できるようにします。 |
| Microsoft Office のMicrosoft Defender Application Guard (MDAG) | Application Guardは、Word、PowerPoint、Excel などの Office ファイルを保護します。 Application Guardが有効になっていて、保護されている場合、アプリケーション アイコンには小さなシールドがあります。 |
| MDM を使用して構成するMicrosoft Defender Application Guard (MDAG) | WindowsDefenderApplicationGuard 構成サービス プロバイダー (CSP) は、Microsoft Defender Application Guardの設定を構成するために企業によって使用されます。 |
| アプリ コンテナー | ユニバーサル Windows プラットフォーム (UWP) アプリケーションは、アプリ コンテナーと呼ばれる Windows コンテナーで実行されます。 アプリ コンテナーで実行されるプロセスは、低整合性レベルで動作します。つまり、所有していないリソースへのアクセスが制限されます。 ほとんどのリソースの既定の整合性レベルは中程度の整合性レベルであるため、UWP アプリはファイルシステム、レジストリ、およびその他のリソースのサブセットにのみアクセスできます。 アプリ コンテナーでは、ネットワーク接続に対する制限も適用されます。たとえば、ローカル ホストへのアクセスは許可されません。 その結果、マルウェアや感染したアプリはエスケープのためのフットプリントが限られています。 |
| Windows サンドボックス | Windows サンドボックスは、信頼されていない Win32 アプリケーションを分離して安全に実行するための軽量デスクトップ環境を提供します。同じハードウェア ベースの Hyper-V 仮想化テクノロジを使用して、PC への永続的な影響を恐れずにアプリを分離します。 |